TheAndrey 16 047 Опубликовано: 30 июля На днях в сети появилась статья о некой уязвимости «Bleeding Pipe» – удалённое выполнение произвольного кода. Это наиболее опасная категория уязвимостей в программном обеспечении, позволяющая получить неконтролируемый доступ к системе. Проблема касается любой версии Minecraft, только если вы играете с модами на серверах. На самом деле, эта тема уже не нова, администраторам серверов о проблеме известно ещё с начала прошлого года, когда один из проектов был взломан через уязвимость в BdLib. Автору было сообщено о проблеме, но исправлять свою оплошность он отказался под предлогом прекращения поддержки устаревшей версии игры. Началась длинная дискуссия. Уязвимости подобного рода появляются из-за лени и неопытности разработчиков модификаций, которые никогда в жизни не слышали о существовании хакеров. Чтобы такая уязвимости появилась, нужно написать специальный код без понимания принципов его работы. На сборках RedServer поддержка модов осуществляется своими силами. Любые известные уязвимости исправляются в срочном порядке. Потому даже пришлось изменить требования к включению модификаций в сборку – обязательная проверка на наличие уязвимостей, прежде чем мод станет доступен игрокам. Это повлекло за собой перемещение «дюпов» в категорию незначительных ошибок. Игрокам рекомендуется тщательно относиться к выбору модификаций игры; играть на сборках которые имеют поддержку; запускать игру из под учётной записи с ограниченными правами. Хорошо в этой новости то, что в западном сообществе наконец-то решили взяться за старую проблему серьёзно. Ждём появления превентивных мер против уязвимостей. 8 1 1 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Orbus 5 Опубликовано: 31 июля Разработчик bdlib 13 часов назад пофиксил проблему с уязвимостью на версиях 1.7.10 и 1.10.2. Считайте что ему понадобилось чуть больше года на фикс проблемы из-за лени. Людишки теперь могут просить добавить на ред такие замечательные моды как AE2 Staff и Gendustry. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
TheAndrey 16 047 Опубликовано: 31 июля Радует что есть прогресс. Удалось его распинать. Вся равно придётся делать свой фикс, чтобы полностью отказаться от использования OIS и спать спокойно. По крайней мере, Gendustry нормально функционирует без этого пакета (он полностью отключен, фиксить было лень ибо scala). Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах